Была одна интересная история. Пошли с безопасниками найти один телефонный разговор на станции записи телефонных переговоров. Нашли, прослушали. А потом инженер покачнулся и задел рукой клавиатуру. Мне потом стало интересно, какой умный человек в цифровой её части разместил клавиши “Del” и “Enter” таким образом, что одним простым слитным движением их можно нажать в нужной последовательности. Понятно, что и разработчики программы показали себя с нелучшей стороны, установив действие по умолчанию для вопроса “Вы уверены, что хотите удалить файл безвозвратно?” на “Да”. Короче, ползущая полоска удаления при округлившихся глазах, и потом много объяснений.

Серьезный подход к организации дистанционного доступа, максимальное ограничение прав доступа в соответствии с ролями, отслеживание и отработка всех рекомендаций по настройкам защиты от проникновений и вирусов – набор инструментов, который вы легко найдете в сети.

В это сложно поверить, но в большинстве компаний я, будучи ИТ-директором вообще не имел доступа в операционные рабочие базы.

Кстати, в моей практике был реальный классический случай, когда мальчик и девочка, занимавшиеся автоматизацией платежей организовали для себя тонюсенький ручеек от большого финансового потока. Закончилось все плачевно, но факт имел место быть.

Очень хорошим вариантом является – это периодическое привлечение внешнего аудита для проверки вашей информационной системы на предмет соответствия современным требованиям безопасности. Если ваше компания может себе это позволить – это точно будет не лишней строчкой в бюджете.

В моей практике случались случаи когда безопасники пытались встроиться и в процесс внесения изменений в ИТ-продукты, но, как правило ни к чему хорошему это не приводило. Полноценную ревизию кода все равно быстро не сделаешь, тестирование им отдавать тоже смысла нет. Поэтому дело обычно заканчивалось максимум формальным контролем исполнения процесса: кто делал, кто собирал, кто тестировал, если результаты тестов оформлены правильно – даем добро на установку. А дальше есть правила безопасности, которые должны соблюдаться неукоснительно:

– ничего не разрабатываем на рабочей базе

– обязательно тестируем, что изменение сильно ничего не поломает

– перед внесением изменений бэкапим, чтобы можно было откатится

– критичные операции лучше делать вдвоем: один смотрит, другой контролирует

Еще один момент связан с тем, что ИТ-шники создают интеллектуальную собственность. Озаботится ее защитой – это прямая обязанность ИТ-управленца. Зарегистрировать права на создаваемые продукты не так уж и дорого и муторно, но страхует от возможных неприятностей. В моей практике был случай, когда правоохранительные органы нашли наш программный продукт в одной из организаций не имеющих к нам никакого отношения. Расследование показало, что туда его продал один из уволившихся сотрудников. Тот случай закончился в какой-то степени позитивом, поскольку мы получили компенсацию, которая составила чуть ли не полугодовой наш бюджет, но могло сложится и по другому: если бы кто-то взял и на себя зарегистрировал права и потом предъявил претензии

Напоследок хочу еще отметить, что ИТ-шники имеют такую роль, как проверка требований безопасников на адекватность, поскольку только они могут квалифицированно сказать, что пароль из 28 знаков с обязательной сменой через 3 суток является слегка завышенным требованием.

В любой современной компании практически ни один проект не обходится без серьезной ИТ-составляющей. При этом эта составляющая сама по себе может быть выделена в отдельный проект. Иногда ее объем представляется настолько большим, что происходит подмена и создание программного продукта, начинают путать с реализацией проекта в целом.

Например, проект “Автозаказ”. Мы хотим, чтобы информационная система самостоятельно рассчитывала количество товара к заказу, на основании данных о продажах, остатках и некоторой другой информации. Многие ошибочно думают, что самое сложное здесь алгоритм. Алгоритмы расчета давно не являются секретом, их можно найти массу, а также придумать и реализовать свои, но это будет, наверное, не более 20% от того, что нужно сделать. Нужно учесть еще массу параметров, а для этого требуется наладить их внесение, сбор, проверку корректности, учет всяких хитрых условий и ситуаций. Графики доставки, активный ассортимент, доступное полочное пространство, промоактивность и пр.пр.пр. Короче обвес алгоритма намного сложнее и более трудоемок, чем работы по программированию самого алгоритма. А потом еще есть огромный объем работ, по внесению необходимых параметров и всяким настройкам.